AWS zabavil phishingové domény ruské APT29

Ukrajinský tým pro reakci na počítačové hrozby (CERT-UA) vydal zprávu, která varuje před masivní phishingovou aktivitou skupiny APT29, označenou jako „UAC-0215“. APT29, známá také jako „Cozy Bear“ a „Midnight Blizzard“, je ruská státem sponzorovaná kyberšpionážní skupina napojená na ruskou SVR.

Amazon uvedl, že phishingové stránky, které APT29 vytvořila, se snažily napodobit domény AWS. Nicméně samotné přihlašovací údaje k platformě Amazonu nebyly přímým cílem těchto útoků. Skupina APT29 se spíše zaměřovala na získání přihlašovacích údajů do systému Windows prostřednictvím RDP. Phishingové e-maily obsahovaly RDP soubory, například „Zero Trust Security Environment Compliance Check.rdp“, které po otevření automaticky zahájily připojení ke škodlivým serverům.

„Jakmile jsme se o této aktivitě dozvěděli, okamžitě jsme zahájili proces zabavení domén, které APT29 zneužívala a které se vydávaly za AWS, abychom operaci přerušili,“ uvedl Amazon.

Vašemu podniku dáváte vše.
Chráníte i jeho digitální život?

Zanechte nám svůj e-mail a my vám poradíme, jak zlepšit zabezpečení vaší společnosti.

Internetový archiv opět napaden hackery

Začátkem tohoto měsíce jsem Vás informoval o kybernetickém útoku na Internetový archiv, včetně platformy Wayback Machine. Internetový archiv 20. října potvrdil již třetí narušení bezpečnosti v rámci série stupňujících se kybernetických útoků.

Hackeři zneužili API tokeny helpdeskové platformy Zendesk k získání přístupu k ticketům podpory, které mohou obsahovat citlivé informace.

Zdá se, že jednotlivá narušení bezpečnosti spolu souvisí. 9. října 2024 hackeři využili GitLab token, který jim umožnil přístup ke zdrojovému kódu Internetového archivu a vedl ke krádeži citlivých dat, což ovlivnilo 31 milionů uživatelů.

Další útok se zaměřil na platformu Zendesk Internetového archivu, kde byly zneužity přístupové tokeny. Všechny tyto útoky jsou důsledkem základního problému – selhání správy přístupových tokenů.


Správci firewallu FortiGate hlásí aktivní zneužití 0-day

Společnost Fortinet, výrobce softwaru pro zabezpečení sítí, stále neodhalila podrobnosti o kritické zranitelnosti, kterou útočníci využívají ke spuštění škodlivého kódu. Fortigate nezveřejnila žádné veřejné upozornění ani CVE označení, aby bezpečnostní odborníci mohli tento zero-day sledovat.

O zranitelnosti se hovoří přinejmenším od 13. října. Podle nezávislého výzkumníka Kevina Beaumonta bezpečnostní chyba vychází z výchozího nastavení systému FortiManager, které umožňuje zařízením s neznámými nebo neautorizovanými sériovými čísly zaregistraci do řídicího panelu FortiManager. Zranitelné verze pravděpodobně zahrnují FortiManager 7.6.0 a nižší.

Nejasnost v reakci společnosti FortiGate na tuto zranitelnost přichází v době, kdy Carl Windsor, ředitel informační bezpečnosti společnosti, v květnu potvrdil závazek „být vzorem v oblasti etického a odpovědného vývoje produktů a zveřejňování zranitelností“.


POC k útoku NTLM Relay na Windows Server „WinReg“

Byl zveřejněn proof of concept (POC) exploitu pro zranitelnost v klientovi vzdáleného registru, kterou lze využít k převzetí kontroly nad doménou Windows. Zranitelnost, sledovaná jako CVE-2024-43532, využívá záložní mechanismus v implementaci Windows Registry (WinReg) klienta, který se spoléhá na staré transportní protokoly, pokud není přítomen transport SMB.

Útočník zneužívající tuto zranitelnost může předat ověřování NTLM certifikační službě ADCS (Active Directory Certificate Services) a získat tak certifikát uživatele pro další ověřování v rámci domény.

Chyba se týká všech verzí Windows Server 2008 až 2022 a také systémů Windows 10 a Windows 11. Microsoft již vydal opravu.


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.